Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64553
Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать `rm -rf ~/.var/app/$APP_ID`. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.
Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.
А во фряхе третьи лица или кто делал такой же jail?
Слово похожее увидел?
ты изолируешь приложения из состава дистрибутива, при этом используешь вторую часть дистрибутива, которой вдруг доверяешь для изоляции первойне находишь это странным?
Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы третьими. В идеале, в реале хотьи нежелательно, но могут эти лица и пересекаться. В случае же флэтпак это однозначно одни и те же лица. Вот это нахожу странным - доверять изоляцию приложений его же автору и сборщику.
> Не нахожу. Ибо сырцы приложений предоставлены одними, собраны они другими, а изолированы
> третьими. В идеале, в реале хотьи нежелательно, но могут эти лица
> и пересекаться. В случае же флэтпак это однозначно одни и те
> же лица. Вот это нахожу странным - доверять изоляцию приложений его
> же автору и сборщику.что-то тебя понесло,
ты доверяешь той половине которую не изолируешь, но не доверяешь той половине которую пытаешься изолировать, хотя нет никаких оснований доверять или не доверять той или иной половине разработчкиков
а если есть недоверие, то как минимум виртуалка
Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble
Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.
firejail и bubblewrap интегрируются с системным ПО.
flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.
> firejail и bubblewrap интегрируются с системным ПООба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь!
Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак.
> flatpak навязывает свой репозиторий
Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно.
> софт в Flathub-е собирает кто попало и как попало
Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.
а как положить .desktop-файлы не туда куда надо? )))
если опасаешься собственной криворукости запуска "иконки",
то бери терминал и запускай firejail там.чтобы не терзаться в сомнениях чем там пакет во флэтхабе,
собери себе appimage и запусти в firejail ))
Ну тогда уже https://github.com/landlock-lsm/island , но надо на C++ переписать.
сделай appimage и следы в хомяке исчезнут.
чтоб совсем не сомневаться, запусти систему
в режиме live ))и да, appimage можно запускать в firejail,
как и самому писать профили
Сделай то, сделай сё... Согласись, звучит куда сложнее, чем "нажать кнопку Install -- и получаешь SOTA zero configuration изоляцию с безопасными дефолтами." И да, главной ЦА должны оставаться обычные пользователи, и должен покрываться такой распространенный случай, как "быстренько попробовать приложение, запустить, а затем удалить" -- в firejail вначале придется потратить час на конфигурирование этого дела, а во флатпаке это три клика: Install, Open, Uninstall.
в безопасности нет решения -
"нажать кнопку "Чтоб стало ЗАЕ***Ь"в большинстве случаев, чтобы тестового поставить пакет,
достаточно запустить систему в live
чуть сложнее - откат к предыдущему состоянию
> в безопасности нет решения - "нажать кнопку "Чтоб стало ЗАЕ***Ь"Решение есть, просто ты упорно его игнорируешь.
> достаточно запустить систему в live
Ребутнуться? Это даже хуже решения с "вводить пароль каждый раз при установке/удалении приложения", потому что установочный скрипт сделает useradd для DAC. (И все равно после этого приложуха сможет скриншотить чужое и иметь доступ к вообще всем пользовательским сервисам.)
Игнорирую бездоказательные утверждения )ну если "ребутнуться" - это запустить в live,
то все изложенное дальше ШЛАК ))
Зачем нужны flatpak, Wayland и профили, когда есть юзеры, разные tty с разными X-серверами и сборка с сорцов?
что такое "вяленый" ?
Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите
Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.
> Линукс не юниксИ? В нём нельзя создавать пользователей?
дежурное напоминание:
можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними.
пользуйтесь этой информацией тоже как хотите.
нельзя
только вейленд
> нельзяКто запретил?
Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил.Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications."
И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.
а доступ к буферу обмена есть у всех? )))я бы вообще не рассчитывал на изоляцию между приложениями если ты не контролируешь их код, на крайний вариант VM, и то это неидеально
ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак), и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа просто запустят за секунду podman run и получат дефолт, в котором приложение не видит вообще ничего, кроме uname ядра.
а namespace-господа случайно эскалацию привелегий через вулн в изоляторе, или тем более uns не хотят ?
реальные господа причесывают ~~MAX~~ MAC.
их, правда, трудно так назвать ..
Покажи мне хотя бы одну подсистему, в которой не было уязвимостей. А так конечно да: сидеть в пещере без компа безопаснее всего. В компах бывают уязвимости -- шок!
> ЧТД: фанатики DAC снова не нашли, чем ответить, и быстренько слились. Тем
> временем, изоляция на основе контейнеров применяется и для десктопных приложений (флатпак),
> и для серверных (подман, докер). Пока DAC-фанатик будет рассчесывать часами свой
> /etc/{passwd,group}, наивно полагая, что файлы -- это единственный шаренный ресурс, namespace-господа
> просто запустят за секунду podman run и получат дефолт, в котором
> приложение не видит вообще ничего, кроме uname ядра.что за мусор я сейчас прочитал? кто слился? куда слился? что ты пытаешься не сказать?
---
по поводу контейнеров
namespaces я могу и в systemd изолировать, и юзеров тоже там же прописать, контейнеры это последcтвия пропихивания микросервисов везде где не нужно, этот зоопарк надо деплоить и появился ответ в виде compose и кубер, а так он нах "не нужон"
flatpak юзаю, но только для случаев когда нет родных пакетов
> кто слился? куда слился?Перечитай комменты, чувак. Я предложил два кейса, где DAC нихрена ничего не разграничивает. Ты на них ответил? Нет. Вместо этого ты внезапно пошел обсуждать погоду на Марсе^W^W^W производство зонтов^W^W влияние Сатурна на животноводство^W^W^W^W буфер обмена.
> namespaces я могу и в systemd изолировать
Молодец. Значит ли это, что systemd следует использовать для деплоя серверных и десктопных приложений? Нет, абсолютно не значит.
Человеческая природа такова, что самый конец текста запоминается лучше всего, поэтому вот тебе напоминание в самом конце: ты нихрена не ответил на мои два примера того, как DAC нихрена ничего не разграничивает, когда шаренный ресурс -- не файл, а сокет.
> а доступ к буферу обмена есть у всех? )))При запуске разных X на разных tty — нет.
1. Кто запретил запускать Иксы в самих юзерах на разных tty?2. Как? На каталог /run/user/<id_user> права всегда 0700.
по-моему, то, что Вы описали на счет шины, делается через полкит.
там прям четко можно запретить/разрешить и выставить политику по умолчанию
> во всех юниксах можно создавать пользователей и настратвать им привелегииПривелегии цисгендерного белого угнетателя? Типа захотел браузер — залогинился от одного юзера, захотел калькулятор — от другого.
Нет, между tty переключился через Ctrl+Alt+FX.
Пользователи видят процессы друг друга by design.
Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
И т.д. и т.п.
Отдельный пользователь - это хорошо. Но совершенно недостаточно.
> Пользователи видят процессы друг друга by design.hidepid=1 или hidepid=2
И ты не видишь чужих процессовДальше разбирать твою галиматью или уже хватит того, что ты начал со вранья?
Разбери. Причем во время разбора тебе надо учесть, для кого пилится система: для обычного пользователя, который кликает Install -- и сразу развернулась приложуха с zero configuration изоляцией. Без всяких стремных useradd. Ах да, забыл упомянуть -- поддержка иммутабельного readonly /etc также крайне желательна, так что хрен ты вызовешь useradd.
> И ты не видишь чужих процессовничего, systemctl status мне их покажет
> Пользователи видят процессы друг друга by design.Это понятно. А минусы будут? Это на безопасность не влияет никак.
> Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
Добавь отдельный адрес на лупбэк интерфейс и через {ip,nf}tables разреши трафику исходить на этот адрес только от одного юзера, который свои важные штуки будет биндить именно на этот адрес. Я так и делаю.
> Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
Но юзеры у нас у разных "окружений задач" разные.
> Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
Polkit и sudo в нормальных системах отсутствуют, а в su через, условно, PAM можно задать разрешение логиниться в рута только одному пользователю, либо вовсе не иметь "доверенного" пользователя для логина в рута, а логиниться в рута на отдельном tty.
Похоже на убийцу cagefs от cloudlinux.
Привилегия — это исключительное право или преимущество, предоставляемое кому-либо в отличие от других. Например, это могут быть дворянские привилегии или особые права, которые отменяются в зависимости от обстоятельств. Привилегии могут использоваться как в разговорной речи, так и в профессиональных сферах.
Всё это слишком сложно и не нужно. Оно и понятно, вместо пользования виндой десяточкой, линуксо_йды придумывают себе всякие прослойки и прослойки прослоек, для того, чтобы им казалось, что у них секурность максимальная!
Изоляция приложений, запущенных одним пользователем , друг от друга под виндой? Интересует, продолжай.
виндой десяточкой3.11 - секурнее
А есть профиль для MAX?
Безопаснее хранить MAX отдельно от компьютера, в сейфе. А сейф - в отделении МВД, доступ к которому осуществляется строго по паспорту, СНИЛС и НДФЛ, в установленном законом режиме.
Справку от священника забыл.
там а самому сделать?
С landlock воз и ныне там: правила landlockа сами по себе, а не выводятся из правил firejail.
какой glibc конечно не надо писать..
как всегда
>профили изоляции для игровых движковОбъясните мне, зачем изолировать какой-то конкретный игровой движок? Нет унивесрального решения для изоляции, которое бы подходило для любого? Да и вообще зачем их изолировать? Просто спрашиваю, т.к. не особо разбираюсь в этом (да, я понимаю, что важно иметь возможность изолировать приложение от сети и прочего в целом). Спасибо заранее.
А какие преимущества над bwrap и прочих аналогов?> firejail предельно прост в конфигурации
И по ссылке куча какого-то текста с множеством нюансов и предупреждений о потенциальных проблемах.
связка firejail + appimage в теории гораздо круче флетпака.
во-первых, firejail позволяет гибко настроить доступ к ресурсам.
во-вторых, всегда можно сохранить копию старой версии проги.
в-третьих, теоретически appimage имеет в составе все зависимости.однако, на практике, когда я пытался запустить многие аппимаги со стандартными для флетпака фичами вроде --net=none --ipc-namespace --caps.drop=all --private=directory, то половина прог вообще не запускалась.
я пробовал использовать встроенные профили. например аппимагу double commander с преднастроенным профилем file-manager-common.profile
однако оно нихрена не запускалось или работало с большими проблемами с доступом к файлам.многие другие аппимаги известных прог тоже не работали с преднастроенными профилями, из чего можно сделать вывод, что профиля фаерджейл написаны криво.
пробовал для прикола собрать минимальную генту на sway без гтк и без qt, чтоб все либы были чисто в аппимагах. но, увы, не запустилось ничего, потому что большинство аппимаг требует установленных в систему гтк и кутэ-говна.
тогда я бросил эту идею построить минимальную систему на аппимагах изолированных через firejail, так как это слишком хорошо, чтобы быть правдой.
теперь юзою флетпак, быстро настраиваю доступ через flatseal, хотя хорошо понимаю, что любая песочница взламывается, софт на флетхаб типа стима и хрома выкладывают непроверенные разработчики, да и вообще попытка изолировать среднестатистический линукс обречена.
короче, пацаны, ставьте федору, убунту, а лучше сразу венду, потому что редхет со своим дерьмом всё равно превратит линукс в младшего брата венды для контейнеров и серверов.